Hálózati követelmények dedikált példányhoz

A Webex Calling Dedicated Instance a Cisco Cloud Calling portfólió része, amelyet a Cisco Unified Communications Manager (Cisco Unified CM) együttműködési technológiája működtet. A Dedicated Instance hang-, video-, üzenetküldési és mobilitási megoldásokat kínál a Cisco IP-telefonok, mobileszközök és asztali ügyfelek funkcióival és előnyeivel, amelyek biztonságosan csatlakoznak a dedikált példányhoz.

Ez a cikk olyan hálózati rendszergazdáknak szól, különösen a tűzfal- és proxybiztonsági rendszergazdáknak, akik a szervezeten belül dedikált példányt szeretnének használni. Ez a dokumentum elsősorban a dedikált példány megoldás hálózati követelményeire és biztonságára összpontosít, beleértve a biztonságos fizikai hozzáférést biztosító funkciók és funkciók többrétegű megközelítését, a biztonságos hálózatot, a biztonságos végpontokat és a biztonságos Cisco UC-alkalmazásokat.

A dedikált példány biztonságos kapcsolataira vonatkozó tanúsítványkövetelmények

A Webex Calling Dedicated Instance esetében a Cisco biztosítja a tartományt, és nyilvános hitelesítésszolgáltatóval (CA) aláírja az UC-alkalmazások összes tanúsítványát.

Dedikált példány – Portszámok és protokollok

Az alábbi táblázatok a dedikált példányban támogatott portokat és protokollokat ismertetik. Az adott ügyfélhez használt portok az ügyfél üzembe helyezésétől és megoldásától függenek. A protokollok az ügyfél preferenciájától (SCCP vs SIP), a meglévő helyszíni eszközöktől és az egyes üzemelő példányok során használt portok meghatározásának rendszerétől függenek.

Dedikált példány – ügyfélportok

Az ügyfelek számára elérhető portok – az ügyfélfeltétel és a dedikált példány között – az 1. táblázat dedikált példány vevőportjai jelenik meg. Az alább felsorolt összes port a társviszony-létesítési hivatkozásokat átszelő ügyfélforgalomra szól.


Az SNMP-port csak a CER-funkciókhoz támogatott, más harmadik féltől származó figyelési eszközökhöz nem.

1. táblázat. Dedikált példány ügyfélportjai

Protokoll

TCP/UCP

Forrás

Cél

Forrásport

Célport

Cél

SSH

TCP

Kliens

UC alkalmazások

1023-nál nagyobb

22

Adminisztráció

LDAP

TCP

UC alkalmazások

Külső könyvtár

1023-nál nagyobb

389

Könyvtárszinkronizálás az ügyfél LDAP-tal

HTTPS

TCP

Böngésző

UC alkalmazások

1023-nál nagyobb

443

Webes hozzáférés öngondoskodási és adminisztratív felületekhez

LDAP (BIZTONSÁGOS)

TCP

UC alkalmazások

Külső könyvtár

1023-nál nagyobb

636

Könyvtárszinkronizálás az ügyfél LDAP-tal

SCCP

TCP

Végpont

Egységes CM, CUCxn

1023-nál nagyobb

2000

Hívásjelzés

SCCP

TCP

Unified CM

Egységes CM, Átjáró

1023-nál nagyobb

2000

Hívásjelzés

SCCP (BIZTONSÁGOS)

TCP

Végpont

Egységes CM, CUCxn

1023-nál nagyobb

2443

Hívásjelzés

SCCP (BIZTONSÁGOS)

TCP

Unified CM

Egységes CM, Átjáró

1023-nál nagyobb

2443

Hívásjelzés

Megbízhatóság ellenőrzése

TCP

Végpont

Unified CM

1023-nál nagyobb

2445

Megbízhatóság-ellenőrző szolgáltatás biztosítása végpontok számára

CTI

TCP

Végpont

Unified CM

1023-nál nagyobb

2748

A CTI-alkalmazások (JTAPI/TSP) és a CTIManager közötti kapcsolat

Biztonságos CTI

TCP

Végpont

Unified CM

1023-nál nagyobb

2749

Biztonságos kapcsolat a CTI alkalmazások (JTAPI/TSP) és a CTIManager között

LDAP globális katalógus

TCP

UC alkalmazások

Külső könyvtár

1023-nál nagyobb

3268

Könyvtárszinkronizálás az ügyfél LDAP-tal

LDAP globális katalógus

TCP

UC alkalmazások

Külső könyvtár

1023-nál nagyobb

3269

Könyvtárszinkronizálás az ügyfél LDAP-tal

CAPF szolgáltatás

TCP

Végpont

Unified CM

1023-nál nagyobb

3804

A hitelesítésszolgáltató proxy funkciója (CAPF) figyelési portja helyileg jelentős tanúsítványok (LSC) IP-telefonokra történő kiadásához

SIP

TCP

Végpont

Egységes CM, CUCxn

1023-nál nagyobb

5060

Hívásjelzés

SIP

TCP

Unified CM

Egységes CM, Átjáró

1023-nál nagyobb

5060

Hívásjelzés

SIP (BIZTONSÁGOS)

TCP

Végpont

Unified CM

1023-nál nagyobb

5061

Hívásjelzés

SIP (BIZTONSÁGOS)

TCP

Unified CM

Egységes CM, Átjáró

1023-nál nagyobb

5061

Hívásjelzés

SIP (OAUTH)

TCP

Végpont

Unified CM

1023-nál nagyobb

5090

Hívásjelzés

XMPP

TCP

Jabber ügyfél

Cisco IM és P

1023-nál nagyobb

5222

Azonnali üzenetküldés és jelenlét

HTTP

TCP

Végpont

Unified CM

1023-nál nagyobb

6970

Konfiguráció és képek letöltése végpontokra

HTTPS

TCP

Végpont

Unified CM

1023-nál nagyobb

6971

Konfiguráció és képek letöltése végpontokra

HTTPS

TCP

Végpont

Unified CM

1023-nál nagyobb

6972

Konfiguráció és képek letöltése végpontokra

HTTP

TCP

Jabber ügyfél

CUCxn

1023-nál nagyobb

7080

Hangposta-értesítések

HTTPS

TCP

Jabber ügyfél

CUCxn

1023-nál nagyobb

7443

Biztonságos hangposta-értesítések

HTTPS

TCP

Unified CM

Unified CM

1023-nál nagyobb

7501

Az Intercluster Lookup Service (ILS) tanúsítványalapú hitelesítéshez használja

HTTPS

TCP

Unified CM

Unified CM

1023-nál nagyobb

7502

Az ILS jelszóalapú hitelesítéshez használja

IMAP

TCP

Jabber ügyfél

CUCxn

1023-nál nagyobb

7993

IMAP TLS-ről

HTTPS

TCP

Böngésző, Végpont

UC alkalmazások

1023-nál nagyobb

8443

Webes hozzáférés öngondoskodási és adminisztratív felületekhez, UDS

HTTPS

TCP

Prem

Unified CM

1023-nál nagyobb

9443

Hitelesített névjegykeresés

Biztonságos RTP/SRTP

UDP

Unified CM

Telefon

16384-32767 *

16384-32767 *

Média (audio) - Music On Hold, Annunciator, Szoftverkonferencia híd (Hívásjelzés alapján nyitott)

Biztonságos RTP/SRTP

UDP

Telefon

Unified CM

16384-32767 *

16384-32767 *

Média (audio) - Music On Hold, Annunciator, Szoftverkonferencia híd (Hívásjelzés alapján nyitott)

ICMP

ICMP

Végpont

UC alkalmazások

N/a

N/a

Pingelés

ICMP

ICMP

UC alkalmazások

Végpont

N/a

N/a

Pingelés

* Bizonyos különleges esetek nagyobb tartományt használhatnak.

Dedikált példány – OTT-portok

Az ügyfelek és partnerek mobil- és távelérési (MRA) beállításai a következő portlistát használhatják:

2. táblázat. Az OTT portjainak listája

Protokoll

TCP/UCP

Forrás

Cél

Forrásport

Célport

Cél

BIZTONSÁGOS SIP

TCP

Végpont

E gyorsforgalmi út

1023-nál nagyobb

5061

Biztonságos SIP jelzés az MRA regisztrációhoz és hívásokhoz

BIZTONSÁGOS SIP

TCP

Végpont/kiszolgáló

E gyorsforgalmi út

1023-nál nagyobb

5062

Biztonságos SIP a B2B hívásokhoz

BIZTONSÁGOS RTP/RTCP

UDP

Végpont/kiszolgáló

E gyorsforgalmi út

1023-nál nagyobb

36000-59999

Biztonságos média az MRA és B2B hívásokhoz

HTTPS (BIZTONSÁGOS)

TLS

Kliens

E gyorsforgalmi út

1023-nál nagyobb

8443

CUCM UDS és CUCxn REST az MRA hívásokhoz

XMLS

TLS

Kliens

E gyorsforgalmi út

1023-nál nagyobb

5222

IM és jelenlét

FORDÍT

UDP

ICE ügyfél

E gyorsforgalmi út

1023-nál nagyobb

3478

ICE/STUN/TURN tárgyalás

BIZTONSÁGOS RTP/RTCP

UPD

ICE ügyfél

E gyorsforgalmi út

1023-nál nagyobb

24000-29999

TURN média ICE tartalék

Dedikált példány – UCCX-portok

Az alábbi portlistát az ügyfelek és a partnerek használhatják az UCCX konfigurálására.

3. táblázat. Cisco UCCX portok

Protokoll

TCP / UCP

Forrás

Cél

Forrásport

Célport

Cél

SSH

TCP

Kliens

UCCX

1023-nál nagyobb

22

SFTP és SSH

Informix

TCP

Ügyfél vagy kiszolgáló

UCCX

1023-nál nagyobb

1504

Egységes CCX adatbázis-port

SIP

UDP és TCP

SIP GW vagy MCRP szerver

UCCX

1023-nál nagyobb

5065

Kommunikáció távoli GW és MCRP csomópontokkal

XMPP

TCP

Kliens

UCCX

1023-nál nagyobb

5223

Biztonságos XMPP-kapcsolat a Finesse-kiszolgáló és az egyéni harmadik féltől származó alkalmazások között

CVD

TCP

Kliens

UCCX

1023-nál nagyobb

6999

CcX-alkalmazások szerkesztője

HTTPS

TCP

Kliens

UCCX

1023-nál nagyobb

7443

Biztonságos BOSH-kapcsolat a Finesse szerver és az ügynök- és felügyeleti asztalok között a HTTPS-en keresztüli kommunikációhoz

HTTP

TCP

Kliens

UCCX

1023-nál nagyobb

8080

Az élő adatszolgáltatást bejelentő ügyfelek csatlakoznak a sockethez. I/O-kiszolgáló

HTTP

TCP

Kliens

UCCX

1023-nál nagyobb

8081

Ügyfélböngésző próbál hozzáférni a Cisco Unified Intelligence Center webes felületéhez

HTTP

TCP

Kliens

UCCX

1023-nál nagyobb

8443

Admin GUI, RTMT, DB hozzáférés SOAP-on keresztül

HTTPS

TCP

Kliens

UCCX

1023-nál nagyobb

8444

Cisco Unified Intelligence Center webes felület

HTTPS

TCP

Böngésző- és REST-ügyfelek

UCCX

1023-nál nagyobb

8445

Biztonságos port a Finesse számára

HTTPS

TCP

Kliens

UCCX

1023-nál nagyobb

8447

HTTPS - Unified Intelligence Center online súgó

HTTPS

TCP

Kliens

UCCX

1023-nál nagyobb

8553

Az egyszeri bejelentkezési (SSO) összetevők hozzáférnek ehhez a felülethez, hogy megismerjék a Cisco IdS működési állapotát.

HTTP

TCP

Kliens

UCCX

1023-nál nagyobb

9080

A HTTP-eseményindítókhoz vagy dokumentumokhoz / kérésekhez / nyelvtanokhoz / élő adatokhoz hozzáférni próbáló ügyfelek.

HTTPS

TCP

Kliens

UCCX

1023-nál nagyobb

9443

Biztonságos port, amely a HTTPS-eseményindítók eléréséhez indító ügyfelekre való reagálásra szolgál

TCP

TCP

Kliens

UCCX

1023-nál nagyobb

12014

Ez az a port, ahol az élő adatszolgáltató ügyfelek csatlakozhatnak a sockethez. I/O-kiszolgáló

TCP

TCP

Kliens

UCCX

1023-nál nagyobb

12015

Ez az a port, ahol az élő adatszolgáltató ügyfelek csatlakozhatnak a sockethez. I/O-kiszolgáló

CTI

TCP

Kliens

UCCX

1023-nál nagyobb

12028

Harmadik félTŐL származó CTI kliens a CCX-nek

RTP(Média)

TCP

Végpont

UCCX

1023-nál nagyobb

1023-nál nagyobb

A médiaport szükség szerint dinamikusan nyílik meg

RTP(Média)

TCP

Kliens

Végpont

1023-nál nagyobb

1023-nál nagyobb

A médiaport szükség szerint dinamikusan nyílik meg

Ügyfélbiztonság

Jabber és Webex biztosítása a SIP OAuth segítségével

A Jabber és a Webex ügyfelek hitelesítése egy OAuth jogkivonaton keresztül történik a helyileg jelentős tanúsítvány (LSC) helyett, amely nem igényel tanúsítványhatósági proxy függvény (CAPF) engedélyezését (az MRA esetében is). A vegyes móddal vagy anélkül dolgozó SIP OAuth a Cisco Unified CM 12.5(1), a Jabber 12.5 és az Expressway X12.5-ben került bevezetésre.

A Cisco Unified CM 12.5-ben van egy új lehetőségünk a telefonbiztonsági profilban, amely lehetővé teszi az LSC / CAPF nélküli titkosítást, egyetlen transport layer security (TLS) + OAuth token használatával a SIP REGISTER-ben. A gyorsforgalmi utak csomópontjai a Felügyeleti XML Web Service (AXL) API-t használják, hogy tájékoztassák a Cisco Unified CM-t a tanúsítványukban szereplő SN/SAN-ról. A Cisco Unified CM ezeket az információkat használja az Exp-C tanúsítvány érvényesítéséhez a kölcsönös TLS-kapcsolat létrehozásakor.

A SIP OAuth végponttanúsítvány (LSC) nélkül engedélyezi az adathordozók és a jelátvitel titkosítását.

A Cisco Jabber efemer portokat és biztonságos portokat használ a 6971-es és 6972-es portokon keresztül HTTPS-kapcsolaton keresztül a TFTP szerverre a konfigurációs fájlok letöltéséhez. A Port 6970 egy nem biztonságos port, amelyet HTTP-n keresztül lehet letölteni.

További részletek a SIP OAuth konfigurációról: SIP OAuth mód.

DNS-követelmények

Dedikált példány esetén a Cisco minden régióban a következő formátumban biztosítja a szolgáltatás FQDN-ét <customer><region>. wxc-di.webex.com például xyz.amer.wxc-di.webex.com.

Az "ügyfél" értéket a rendszergazda az Első beállítás varázsló (FTSW) részeként biztosítja. További információ: Dedikált példányszolgáltatás aktiválása.

Ehhez az FQDN-hez szükséges DNS-rekordoknak feloldhatóknak kell lenniük az ügyfél belső DNS-kiszolgálójáról a dedikált példányhoz csatlakozó helyszíni eszközök támogatása érdekében. A megoldás megkönnyítése érdekében az ügyfélnek be kell állítania egy feltételes továbbítót ehhez az FQDN-hez a DNS-kiszolgálón, amely a dedikált példány DNS-szolgáltatásra mutat. A dedikált példány DNS szolgáltatás regionális, és a dedikált példányhoz való társításon keresztül érhető el az alábbi IP-címek használatával, amint azt az alábbi táblázatban említett dedikált példány DNS-szolgáltatás IP-címe.

4. táblázat. Dedikált példány DNS-szolgáltatás IP-címe

Régió/DC

Dedikált példány DNS-szolgáltatás IP-címe

Feltételes továbbítási példa

AMER

<customer>.amer.wxc-di.webex.com

SJC

69.168.17.100

DFW

69.168.17.288

EMEA

<customer>.emea.wxc-di.webex.com

LON

178.215.138.100

AMS

178.215.138.288

APJC

<customer>.apjc.wxc-di.webex.com

TOK

103.232.71.100

BŰN

103.232.71.288

Amíg a feltételes továbbítás meg nem történik, az eszközök nem tudnak regisztrálni a dedikált példányra az ügyfelek belső hálózatából a társviszony-létesítési linkeken keresztül. A mobil- és távelérésen (MRA) keresztüli regisztrációhoz nincs szükség feltételes továbbításra, mivel az MRA megkönnyítéséhez szükséges összes külső DNS-rekordot a Cisco előre kiépítette.

Ha a Webex alkalmazást hívja a dedikált példányon, a Control Hubban konfigurálni kell egy UC Manager-profilt az egyes régiók hangszolgáltatás-tartományához (VSD). További információ: UC Manager Profiles in Cisco Webex Control Hub. A Webex alkalmazás képes lesz automatikusan feloldani az ügyfél Gyorsforgalmi út edge-jét végfelhasználói beavatkozás nélkül.


A szolgáltatás aktiválásának befejezése után a hangszolgáltatás-tartomány a partner hozzáférési dokumentum részeként lesz megadva az ügyfélnek.

Hivatkozások